Hoppa till innehåll på sidan

Är det ni tänkt göra förenligt med GDPR?

För att åstadkomma hållbar digitalisering krävs att innovatörer som utvecklar nya tekniker och tjänster har kunskap om och arbetar systematiskt med dataskydd.

Dataskyddet och GDPR behöver beaktas och vävas in i den digitala utvecklingen från början. Det kan bli kostsamt och tidskrävande att börja tänka på GDPR när man redan startat ett projekt som innebär personuppgiftsbehandling.

Här ger vi förslag på hur ni kan beakta dataskyddet tidigt i utvecklingsprocessen. Du kan också läsa om de grundläggande begreppen i GDPR längre ner på sidan.

Vår guide i sex steg beskriver det stegvisa arbete ni behöver göra för att leva upp till reglerna i GDPR. Det är viktigt att komma ihåg att arbetet kan behöva upprepas när förutsättningarna ändras.

 

Grundläggande begrepp i GDPR

Känner du dig osäker på grunderna i GDPR? Här är en genomgång av de mest grundläggande begreppen.

Alla verksamheter som hanterar personuppgifter måste följa GDPR (dataskyddsförordningen) som är ett regelverk som finns till för att skydda personuppgifter. Reglerna gäller i hela EU. Vid sidan om GDPR finns nationella regler som kompletterar dataskyddsförordningen. Ett exempel är Patientdatalagen som reglerar hur personuppgifter får hanteras inom hälso- och sjukvården.

Mer om reglerna på dataskyddsområdet och hur de hänger samman

GDPR gäller inte allt det som kallas för data, utan endast data som omfattar personuppgifter. Därför är det bra att veta om ens datasamling innehåller personuppgifter.

Vad är då det?

Jo, med personuppgifter menas varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.

Inte bara namn, adress och personnummer, eller foton på personer, utan även ljud- och filminspelningar och GPS-positioner, kan vara personuppgifter om uppgifterna kan knytas till en levande person. Biometriska uppgifter, uppgifter med fysiska eller beteendemässiga kännetecken, som till exempel DNA, fingeravtryck och rörelsemönster kan vara personuppgifter.

Personuppgiftsbehandling är allting man gör när man hanterar personuppgifter: samlar in, sparar, delar (till exempel vid datadelning), sorterar, publicerar, lagrar, förmedlar, raderar och så vidare.

Utifrån benämningen personuppgiftsansvarig kan man förledas att tro att det alltid är en fysisk person som är ansvarig, men så är det ganska sällan. Personuppgiftsansvarig är den som bestämmer för vilka ändamål som personuppgifterna får hanteras och hur den hanteringen ska gå till. Hantering av personuppgifter kallas som beskrivits ovan personuppgiftsbehandling i GDPR.

Personuppgiftsansvarig kan till exempel vara ett aktiebolag, en stiftelse, en förening eller en myndighet. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig, vilket till exempel är fallet för enskilda firmor. Om två eller flera parter tillsammans bestämmer över en viss behandling är de gemensamt personuppgiftsansvariga. Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter, som förvaring av personuppgifterna, till någon annan men personuppgiftsansvaret kan aldrig avtalas bort. Den som bestämmer över behandlingen är ansvarig.

Personuppgiftsbiträde är den som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvarigas egen organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Exempelvis är ofta molntjänstföretag eller andra externa leverantörer av IT-tjänster personuppgiftsbiträden när de lagrar personuppgifter på uppdrag av en personuppgiftsansvarig. Ett personuppgiftsbiträde skulle exempelvis kunna vara en som tillhandahåller en dataplattform för så kallad maskininlärning.

Ett personuppgiftsbiträde och dess personal får bara behandla personuppgifter enligt instruktioner från den personuppgiftsansvariga och avtal mellan parterna måste finnas, ett så kallat personuppgiftsbiträdesavtal.

Läs mer om personuppgiftsbiträdesavtal

 

Metodstöd för dataskydd vid innovation

Myndigheten för digital förvaltning (Digg) och IMY har tagit fram ett gemensamt metodstöd om dataskydd och integritet, riktat till offentliga aktörer som arbetar med innovation.

Metodstödet hittar du på Diggs webbplats

Person vid dator

Metodstöd för dataskydd vid innovation

Myndigheten för digital förvaltning (Digg) och IMY har tagit fram ett gemensamt metodstöd om dataskydd och integritet, riktat till offentliga aktörer som arbetar med innovation.

Metodstödet hittar du på Diggs webbplats

Senast uppdaterad: 22 februari 2024